ธนาคารไทยพาณิชย์ประกาศงดการลงแอป SCB Easy ในอุปกรณ์ใหม่ด้วยตัวเองเป็นการชั่วคราว หลังจากก่อนหน้านี้ลูกค้าจำนวนมากได้รับ SMS phishing หลอกให้ส่งรหัสผ่านและค่า OTP โดยระหว่างนี้ลูกค้าต้องเดินทางไปยังสาขาเมื่อลงแอปในเครื่องใหม่
ข้อมูลของ นางสาววรรยา เจริญโพธิ์ หนึ่งในผู้เสียหายแสดงให้เห็นว่าคนร้ายจะขอข้อมูลส่วนตัว แล้วให้ผู้เสียหายส่งรหัส OTP ที่ได้รับจากธนาคารให้ 2 ครั้ง แสดงให้เห็นว่าครั้งแรกเป็นการลงแอป และอีกครั้งเป็นการโอนเงินออกจากบัญชี
ทีมงาน Blognone เองได้รับ SMS ดังกล่าวอยู่เรื่อยๆ และพบว่าหลายครั้งคนร้ายใส่ค่า sender ID เพื่อแอบอ้างว่า SMS มาจากธนาคาร อีกทั้ง URL ที่ใช้งานมีการเปลี่ยนไปมาอย่างต่อเนื่อง ทำให้ระบบบล็อคเว็บ เช่น Google Safe Browsing ทำงานไม่ทันกาล ผู้ที่เผลอกรอกข้อมูลใดๆ ควรเร่งแจ้งอายัดบัญชีกับธนาคาร
ที่มา - @scb_thailand
Comments
ผมสงสัยมานานทำไมไม่ทำ Authenicator สงสัยมากกกกกกก
นั้นสิครับ SMS ไม่ได้ปลอดภัยที่สุด
ผู้เข้าใจไอทีในระดับหนึ่งแบบใน blognone คงไม่มีปัญหาในการใช้งานครับ แต่ต้องยอมรับว่าผู้ใช้งานมีระดับความเข้าใจในการใช้งานแตกต่างกันมาก ผมว่าอย่างมากสุดคงจะได้แค่เปิดเป็นทางเลือกกครับ
+1 Authenticator สำหรับคนไอทีคงเป็นเรื่องธรรมดา แต่สำหรับคนทั่วไปยังคงเป็นเรื่องใหม่ครับ
วิธีที่ผมว่าง่ายสุดคือต้องไปยืนยันจาก atm หรือสาขาไปก่อนเพราะน่าจะทำได้ง่ายสุด แม้จะไม่สะดวกที่สุดก็เถอะ
ในมุมมองผมคือ
1. user ใช้ยาก ถ้าโทรศัพท์หาย การกู้คืนยุ่งยากมาก
2. ถ้าโทรศัพท์หายหรือโดนขโมย สั่ง remote ปิดยาก (ถ้าเป็น OTP สั่งปิด SIM ได้)
ของผมแค่สลับแอพกลับมาก็ให้เริ่มใหม่ละครับ (Android One) แทบจะเป็นไปไม่ได้เลยเว้นแต่จะมีสองเครื่องหรือมี Device Token มาให้
มันอยู่ที่มาตราการรองรับนะครับ
ส่วนตัวผมถ้าบริการไหนไม่ให้ใช้ OTP ผ่าน sms ก็ได้ ผมจะปิดทันที แล้วใช้ตัวเลือกอื่นแทน ซึ่งโดยทั่วไป บริการใดที่รองรับ authenticator มักจะมีตัวเลือกให้ใช้ backup code เป็นพื้นฐาน (print หรือถ่ายรูป เก็บไว้ในที่ปลอดภัย) หรือทางเลือกอื่นเช่นระบบส่งอีเมลกู้คืนกับอีเมลสำรอง หรือใช้ security key แทนก็ได้
ในมุมคนทั่วไปตามข้อที่ 2. นั้น เอาจริงๆ มีปัญหาในตัวมันคือคือโดน swap SIM attack ซึ่งโดนกันอยู่เนืองๆ อยู่ก่อนหน้านี้แล้ว ยังไม่รวมไปถึงการดักรับจากช่องโหว่ของเครือข่ายมือถือที่ไม่ได้ encrypt text ของ SMS อีก
องค์กรผมผลักดันไป Authenicator ปัญหากับรุ่นใหญ่ก็ไม่น้อย แต่ส่วนพยายามปรับตัวให้เขาเทคโนโลยีใหม่ ๆ ไม่น้อย แต่เจอเอาเด็กรุ่น ๆ จบใหม่ที่ไม่ใช่สายไอที จับกลุ่มบ่นลงสาธารณะกระจายเพราะไม่เข้าใจการทำงานบอกทำให้เขายุ่งยากเปลืองทรัพยากรเขา
เหมือนมันยังง่ายกับคนทั่วไปไม่พอ หรือ เพราะไม่มีความสามารถในการเอาตัวรอดได้ในยุคดิจิทัล ก็ไม่รู้
ถ้าคนจะโดนหลอก ยังไงก็โดนหลอกครับ เช่น เอา OTP จาก authenticator ส่งให้โจร กด approve ให้โจรอีกอยู่ดี
ดันมาช่วงที่ผมใช้บัตรเยอะซะด้วย ก็นึกว่าได้อัพจริง ๆ ยังตกใจอยู่ 555
รู้สึกดีใจที่ที่คิดถูก ที่ไม่ได้สอนพ่อกับแม่ให้ใช้ ธนาคารออนไลน์ เลยแฮะ
เหมือนกันครับ ผมไม่สอนให้ท่านใช้งานเลย
ขนาด คนละครึ่ง ยังไม่ลงทะเบียนให้ เพราะมันยุ่งยาก ต้องโหลดแอปเพิ่มอีก
เลยตัดปัญหา ไม่ต้องใช้ และไม่สอนเลย
ให้เล่นแค่ไลน์กับเฟสแค่นั้นพอ
Mobile banking ของธนาคารอื่น ต่างจาก SCB ยังไงทำไมโดนแค่ SCB
Ooh
ตอนผมย้ายเครื่องมือถือใหม่ ต้นเดือน ทุกแบงค์ก็ย้ายง่ายจริงๆ นั่นแหล่ะ แค่ OTP กับข้อมูลอย่างมากแค่ เลขบัตร บางแบงค์เลขบัญชีไม่ถามด้วย แค่เบอร์โทรพอ จะมีกรุงไทยที่เยอะสุดต้องสแกนหน้าใหม่ แต่ทั้งหมดไม่ต้องไปสาขาหรือATM (บางแบงค์ต้องรู้ PIN เดิม ถึงจะทำได้)
KBANKต้องใช้เน็ตมือถือที่ใช้เบอร์มือถือตรงกับในระบบ (กสิกรร่วมมือกับ Operator ในไทย ให้ส่ง HTTP Header ตัวนึงที่บอกเบอร์มือถือเวลาเชื่อมต่อไปหาเซิฟเวอร์ของกสิกร
KTBต้องสแกนหน้าทุกครั้ง มี Facial Recognition ที่ฝั่งเซิฟเวอร์ ตรวจสอบว่าตรงกับภาพในบัตรประชาชนหรือไม่ (ตอนเปิดบัญชี ธนาคารจะดึงภาพจาก Smart Card มาเก็บไว้)
ธนาคารที่เหลือน่าจะมีผู้ใช้ Mobile Banking น้อยกว่า 3 ธนาคารนี้ แต่พอพ้นจาก SCB ก็อาจจะเป็นเป้าหมายต่อไปได้
ถึงว่าทำบัตรประชาชนใหม่แล้วscan ktb ไม่ผ่าน เล่นเทียบกับรูปเก่า
แบบนี้ต้องทำไงครับ
ไปทำเรื่องที่ธนาคารครับ ผมก็ไปจัดการมาเรียบร้อยแล้ว
แต่ขอบอกเลยครับว่าต้องว่างพอสมควร เพราะคิวเนี่ย...
SCB มัน Easy จริงๆ นั่นล่ะ โอนเงินไปไวมาก
ไม่มี สแกนนิ้ว กดรหัสผ่าน ก่อนโอนเลยเหรอครับ
มีแสกนนิ้วตอนเข้าเมนูบัญชีทีนึง ตอนกดๆ โอนผ่านๆ ไปเลย , เทียบกะ กสิกร/tmb แล้ว จะมีใส่ pin ซ้ำอีกรอบ
เปิด fastpay สำหรับ qr scan ไว้หรือเปล่าครับ มันเปิดปิดได้นะ ไป setting > manage qr scan
ไม่ได้เปิดอะไร นะครับ นี่เพิ่งกดโอนเมื่อเช้า ใส่เลขบัญชีโอนตรงๆเลย (ไม่ใช่เลขที่เคยโอน) กดยืนยันๆ 2 ครั้ง เงินไปเลย